|
Duyuru Tarihi: 08 Mayıs 2008
Açıklama: ZYWALL orta veya küçük ölçekli firmalar
için tasarlanmış xDSL/Kablo modem özellikleri
bulunan bir ağ geçidi ve güvenlik duvarı donanımıdır.
ZYWALL web tabanlı yönetim
arabirimi üzerindeki 404 sayfaları oluşturulurken HTTP
başlığındaki Referer alanı
kullanılmaktadır. Ancak donanım üzerinde çalışan uygulamanın Referer başlığında gelen bilgiyi düzgün
işlememesi ve encode etmeden çıktılarda
kullanması sebebi ile Cross Site Scripting güvenlik açığı ortaya çıkmaktadır.
Açıktan yararlanmak için sunucu
üzerinde bulunmayan bir sayfa http başlığı özel olarak
hazırlanmış referer ifadesi ile
birlikte istenmelidir.
Örnek İstek:
GET
/blah.htm HTTP/1.1
Host:
www.site.com
Referer: blaaaa<script>alert(12345)</script>aa.html
Etkilenen Sürüm: ZYWALL 100
Etki Alanı: Uzaktan Erişim
Risk Seviyesi: Düşük / Orta
Bugtraq ID:
29110
CVE:
CVE-2008-2167
|
Türkçe | 
